網(wǎng)絡安全與網(wǎng)絡管理

計算機網(wǎng)絡技術(shù)

第8章網(wǎng)絡安全與管理學習內(nèi)容：網(wǎng)絡安全的相關(guān)概念威脅網(wǎng)絡安全的主要因素加密技術(shù)的基本原理網(wǎng)絡防病毒的基本方法防火墻的概念、類型和作用網(wǎng)絡管理的內(nèi)容和要求網(wǎng)絡故障檢測及維護方法8.1網(wǎng)絡安全概述網(wǎng)絡安全問題成為互聯(lián)網(wǎng)的焦點；每個人都時刻關(guān)注著與自身密不可分的網(wǎng)絡系統(tǒng)的安全，從應用和管理的角度建立起一套完整的網(wǎng)絡安全體系無論對于單位還是個人都顯得尤為重要，提高網(wǎng)絡安全意識、掌握網(wǎng)絡安全管理工具的使用的重要性日益突出。8.1.1網(wǎng)絡安全的概念網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全具備五個特征：保密性、完整性、可用性、可控性與可審查性。保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失?？捎眯裕嚎杀皇跈?quán)實體訪問并按需求使用的特性。即當需要時能否存取所需的信息?？煽匦裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力。可審查性：對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。8.1.2威脅網(wǎng)絡安全的因素信息泄露：指敏感數(shù)據(jù)在有意或無意中被泄露出去或丟失。拒絕服務：它不斷對網(wǎng)絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務。信息破壞：自然因素人為因素無意破壞故意破壞網(wǎng)絡攻擊網(wǎng)絡安全威脅是指對網(wǎng)絡信息的一種潛在的侵害，威脅的實施稱為攻擊。攻擊是一種故意性威脅，故意性威脅是指對計算機網(wǎng)絡的有意圖、有目的的威脅。主動攻擊：以各種方式有選擇地破壞信息的有效性和完整性。被動攻擊：在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。8.1.3網(wǎng)絡安全機制網(wǎng)絡安全機制可分為兩類：一類與安全服務有關(guān)，另一類與管理功能有關(guān)。ISO7498-2建議了以下八種機制。（1）加密機制：加密是確保數(shù)據(jù)保密性。（2）數(shù)字簽名機制：數(shù)字簽名用來確保數(shù)據(jù)真實性和進行身份驗證。（3）訪問控制機制：訪問控制按照事先確定的規(guī)則來決定主體對客體的訪問是否合法。（4）數(shù)據(jù)完整性機制：數(shù)據(jù)完整性是保證數(shù)據(jù)不被修改。（5）認證機制：計算機網(wǎng)絡中認證機制主要有站點認證、報文認證、用戶和進程的認證。（6）信息流填充機制：信息流填充使攻擊者不知道哪些是有用信息，哪些是無用信息，從而挫敗信息流分析攻擊。（7）路由控制機制：路由控制機制可根據(jù)信息發(fā)送者的申請選擇安全路徑，以確保數(shù)據(jù)安全。（8）公證機制：主要是在發(fā)生糾紛時進行公證仲裁用。8.2加密技術(shù)8.2.1加密技術(shù)基本概念加密技術(shù)又稱為數(shù)據(jù)加密技術(shù)。加密就是把用戶原始的數(shù)據(jù)（稱為明文）通過某種算法進行處理后變?yōu)椴豢芍苯幼R別的數(shù)據(jù)（稱為密文）。把密文轉(zhuǎn)換成為明文叫做解密。加密算法E解密算法DInternet明文數(shù)據(jù)X發(fā)送端密文數(shù)據(jù)Y密文數(shù)據(jù)Y接收端明文數(shù)據(jù)X加密密鑰Ke解密密鑰Kd信息加密傳遞過程基本概念明文消息：需要變換的原消息。簡稱明文。密文消息：明文經(jīng)過變換成為的一種隱蔽形式。簡稱密文。加密：完成明文到密文的變換過程。解密：從密文恢復出明文的過程。加密算法：對明文進行加密時所采用的一組規(guī)則的集合。解密算法：對密文進行解密時所采用的一組規(guī)則的集合。密碼算法強度：對給定密碼算法的攻擊難度。密鑰(key)：加解密過程中只有發(fā)送者和接收者知道的關(guān)鍵信息。對稱密鑰加密又稱常規(guī)密鑰加密、傳統(tǒng)密鑰加密、私鑰加密、專用密鑰加密，即信息的發(fā)送方和接收方用同一個密鑰去加密和解密數(shù)據(jù)。對稱密鑰加密及解密8.2.2對稱加密技術(shù)對稱加密優(yōu)缺點優(yōu)點：加/解密速度快，適合對大量數(shù)據(jù)進行加密。缺點：對稱加密技術(shù)存在著在通信方之間確保密鑰安全交換的問題。在公眾網(wǎng)絡上通信方之間的密鑰分配（密鑰產(chǎn)生、傳送和存儲）很麻煩。當某一通信方有n個通信關(guān)系，那么他就要維護n個專用密鑰（即每把密鑰對應一個通信方）。常用的對稱密鑰加密算法數(shù)據(jù)加密標準DES（DataEncryptionStandard）：

DES算法是IBM公司于1972年研制成功的，后被美國國家標準局和國家安全局選為數(shù)據(jù)加密標準，并于1977年頒布使用，ISO也已將DES作為數(shù)據(jù)加密標準。

DES是一種分組加密算法。RC5：

RC5是RSASecurity公司擁有專利的加密方法，也是一種分組加密算法。8.2.3非對稱加密技術(shù)非對稱密鑰加密又稱公開密鑰加密（PublicKeyEncryption）。它最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰：公鑰和私鑰，公鑰對外公開，私鑰由個人秘密保存；用其中一把密鑰來加密，就只能用另一把密鑰來解密。非對稱密鑰加密及解密非對稱加密技術(shù)特點加密算法和解密算法都是公開的；不能根據(jù)公鑰計算出私鑰；公鑰和私鑰均可以作為加密密鑰，用其中一把密鑰來加密，就只能用另一把密鑰來解密，具有對應關(guān)系；加密密鑰不能用來解密；在計算機上可以容易地產(chǎn)生成對的公鑰和私鑰常見的非對稱加密算法非對稱加密體系一般建立在某些已知的數(shù)學難題之上，是計算機復雜性理論發(fā)展的必然結(jié)果。最具有代表性的是RSA公鑰密碼體制。RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。8.2.4PKIPKI（PublicKeyInfrastructure）即“公鑰基礎(chǔ)設(shè)施”，是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務的關(guān)鍵和基礎(chǔ)技術(shù)。PKI采用非對稱的加密算法，即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰，以避免第三方獲取密鑰后將密文解密。8.2.5證書簽發(fā)機構(gòu)CA

CA是證書的簽發(fā)機構(gòu)，它是PKI的核心。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)。CA制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。8.2.6數(shù)字證書數(shù)字證書是一種權(quán)威性的電子文檔,由權(quán)威公正的第三方機構(gòu)，即CA中心簽發(fā)的證書。數(shù)字證書為實現(xiàn)雙方安全通信提供了電子認證。在因特網(wǎng)、公司內(nèi)部網(wǎng)或外部網(wǎng)中，使用數(shù)字證書實現(xiàn)身份識別和電子信息加密。數(shù)字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認證。8.2.7加密技術(shù)的應用電子商務（E-business）虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）8.3防火墻技術(shù)8.3.1防火墻的概念防火墻是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過防火墻。防火墻可以最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡，即保護內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻示意圖包過濾防火墻(IPFiltingFirewall)代理服務器(ProxyServer)狀態(tài)監(jiān)視器(StatefulInspection)8.3.2防火墻的分類1.包過濾防火墻

包過濾防火墻工作在OSI參考模型的網(wǎng)絡層,根據(jù)數(shù)據(jù)包包頭源地址、目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地點出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。包過濾防火墻的工作原理2.代理服務器應用代理技術(shù)又稱代理服務器(ProxyService)技術(shù)，代理服務器的實質(zhì)就是代理網(wǎng)絡用戶去取得網(wǎng)絡信息。代理服務器通常也稱作應用級防火墻，工作在應用層，它是客戶機和真實服務器之間的中介，代理系統(tǒng)完全控制客戶機和真實服務器之間的流量，并對流量情況加以記錄。代理服務器是介于瀏覽器和Web服務器之間的另一臺服務器，有了它之后，瀏覽器不是直接到Web服務器去取回網(wǎng)頁而是向代理服務器發(fā)出請求，信號會先送到代理服務器，由代理服務器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。3.狀態(tài)監(jiān)視器狀態(tài)監(jiān)視器安全特性最佳，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡安全策略的軟件引擎（也稱檢測模塊）。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施檢測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后制定安全策略的參考。當用戶訪問到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)檢測器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡配置和安全規(guī)定作出接納、拒絕、鑒定或給該通信加密等決定。一旦某個訪問違反安全規(guī)定，安全報警器就會拒絕該訪問，并做下紀錄，然后向系統(tǒng)管理員報告網(wǎng)絡狀態(tài)。8.3.3防火墻的體系結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)雙宿主主機結(jié)構(gòu)屏蔽主機結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)包過濾路由器雙宿主主機結(jié)構(gòu)屏蔽主機結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)8.3.4防火墻的功能

網(wǎng)絡安全的屏障強化網(wǎng)絡安全策略監(jiān)控審計防止內(nèi)部信息的外泄8.4安全漏洞及掃描

8.4.1安全漏洞的定義漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞會影響到很大范圍的軟硬件設(shè)備，包括操作系統(tǒng)本身及其支撐軟件，網(wǎng)絡客戶和服務器軟件，網(wǎng)絡路由器和安全防火墻等。8.4.2安全漏洞掃描安全掃描技術(shù)主要分為兩類：主機安全掃描技術(shù)和網(wǎng)絡安全掃描技術(shù)。網(wǎng)絡安全掃描技術(shù)主要針對系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對其它同安全規(guī)則抵觸的對象進行檢查等。主機安全掃描技術(shù)則是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞。常用的漏洞掃描軟件MBSAScanBDX-Scanner在線安全掃描瑞星：http:///天網(wǎng)：http:///main/view.php?cid=68.5網(wǎng)絡黑客與網(wǎng)絡病毒8.5.1網(wǎng)絡黑客的定義黑客：專門研究、發(fā)現(xiàn)計算機和網(wǎng)絡漏洞的計算機愛好者。黑客不斷地研究計算機和網(wǎng)絡知識，發(fā)現(xiàn)計算機和網(wǎng)絡中存在的漏洞，喜歡挑戰(zhàn)高難度的網(wǎng)絡系統(tǒng)并從中找到漏洞，然后向管理員提出解決和修補漏洞的方法。駭客：專門利用計算機進行破壞或入侵他人。8.5.2常見的黑客攻擊方法Web欺騙技術(shù)特洛伊木馬口令攻擊暴力破解密碼控測網(wǎng)絡監(jiān)聽登錄界面攻擊法電子郵件攻擊網(wǎng)絡監(jiān)聽端口掃描攻擊緩沖區(qū)溢出8.5.3防范黑客的措施提高安全意識使用防火墻使用反黑客軟件盡量不暴露自己的IP安裝殺毒軟件作好數(shù)據(jù)的備份8.5.4病毒的概念計算機病毒（ComputerVirus）指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒的特點寄生性傳染性潛伏性隱蔽性破壞性可觸發(fā)性8.5.5病毒的分類按病毒存在的媒體網(wǎng)絡病毒文件病毒引導型病毒按病毒傳染的方法駐留型病毒非駐留型病毒按病毒破壞的能力無害型無危險型危險型非常危險型按病毒的算法伴隨型病毒“蠕蟲”型病毒寄生型病毒詭秘型病毒變型病毒（幽靈病毒）8.5.6網(wǎng)絡病毒的識別及防治網(wǎng)絡病毒的識別：網(wǎng)絡病毒具有病毒的一些共性，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對網(wǎng)絡造成拒絕服務，以及與黑客技術(shù)相結(jié)合等等。網(wǎng)絡病毒大致可以分為兩類：一類是面向企業(yè)用戶和局域網(wǎng)的；另外一類是針對個人用戶的。一般病毒網(wǎng)絡病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網(wǎng)絡資源一般病毒與網(wǎng)絡病毒的差異8.5.6網(wǎng)絡病毒的識別及防治不使用或下載來源不明的軟件。

不輕易上一些不正規(guī)的網(wǎng)站。提防電子郵件病毒的傳播。一些郵件病毒會利用ActiveX控件技術(shù)，當以HTML方式打開郵件時，病毒可能就會被激活。

經(jīng)常關(guān)注一些網(wǎng)站、BBS發(fā)布的病毒報告，這樣可以在未感染病毒時做到預先防范。

及時更新操作系統(tǒng)，為系統(tǒng)漏洞打上補丁。

對于重要文件、數(shù)據(jù)做到定期備份。8.6網(wǎng)絡管理

8.6.1網(wǎng)絡管理概述網(wǎng)絡管理，簡稱網(wǎng)管，是為保證網(wǎng)絡系統(tǒng)能夠持續(xù)、穩(wěn)定、安全、可靠和高效地運行，對網(wǎng)絡上的通信設(shè)備及傳輸系統(tǒng)進行監(jiān)測和控制的方法和措施。網(wǎng)絡管理的任務就是收集、監(jiān)控網(wǎng)絡中各種設(shè)備和設(shè)施的工作參數(shù)、工作狀態(tài)信息，將結(jié)果顯示給管理員并進行處理，從而控制網(wǎng)絡中的設(shè)備、設(shè)施的工作參數(shù)和工作狀態(tài)，使其可靠運行。OSI管理功能域

故障管理（faultmanagement）計費管理（accountingmanagement）配置管理（configurationmanagement）性能管理（performancemanagement）安全管理（securitymanagement）故障管理 故障管理的功能是迅速發(fā)現(xiàn)和糾正故障，動態(tài)維護網(wǎng)絡的有效性。故障管理主要功能有報警監(jiān)測、故障定位、故障隔離、故障恢復以及維護故障日志。計費管理 計費管理的功能是正確地計算和收取用戶使用網(wǎng)絡服務的費用，進行網(wǎng)絡資源利用率的統(tǒng)計和網(wǎng)絡的成本效益核算。配置管理 配置管理是最基本的網(wǎng)絡管理功能，主要用于配置和優(yōu)化網(wǎng)絡。配置管理就是在網(wǎng)絡建立、擴充、改造以及業(yè)務的開展過程中，對網(wǎng)絡的拓撲結(jié)構(gòu)、資源配備、使用狀態(tài)等配置信息進行定義、監(jiān)測和修改。性能管理性能管理保證有效地運營網(wǎng)絡并提供約定的服務質(zhì)量。性能管理包括性能檢測功能、性能分析功能和性能管理控制功能。安全管理 安全管理的作用是提供信息的保密、認證和完整性保護機制，使網(wǎng)絡中的服務、數(shù)據(jù)和系統(tǒng)免受侵擾和破壞。安全管理主要包括：風險分析功能、安全服務功能、告警、日志和報告功能以及網(wǎng)絡管理系統(tǒng)保護功能。8.6.2簡單網(wǎng)絡管理協(xié)議SNMPSNMP在應用層上進行網(wǎng)絡設(shè)備間通信的管理，它可以進行網(wǎng)絡狀態(tài)監(jiān)視、網(wǎng)絡參數(shù)設(shè)定、網(wǎng)絡流量統(tǒng)計與分析以及發(fā)現(xiàn)網(wǎng)絡故障等。SNMP建立在TCP/IP傳輸層的UDP協(xié)議之上，提供的是不可靠的無連接服務，以保證信息的快速傳遞和減少對帶寬的消耗。SNMP管理模型SNMP協(xié)議管理實體網(wǎng)絡管理代理管理信息數(shù)據(jù)庫被管設(shè)備管理代理管理信息數(shù)據(jù)庫被管設(shè)備管理代理管理信息